FTK Imager 를 이용한 작업

FTK Imager 는 액세스데이터 웹사이트에서 다운로드 가능한 무료 툴로, 주로 디지털 미디어를 수집하는 데 사용한다. 이 툴은 수집된 데이터 무결성 보장을 위해 비트 단위 또는 비트 스트림으로 알려진 정확한 복사본(포렌식 이미지)을 생성한다.

FTK Imager 는 강력한 툴이지만 무료로 제공된다. 여러 기능과 더불어 데이터 사전 분석, 정보 검색 RAM 같은 휘발성 데이터 수집이 가능하다.

http://www.accessdata.com/support/product-downloads 에서 FTK Imager 와 기타 제품들을 다운로드 할 수 있다.

디지털 기기 수집 과정을 이해하고, 요구 사항을 가장 충족할 수 있는 포렌식 이미지를 생성하여 FTK Imager 를 이용한 증거 처리 작업에 대해 알아보겠다.

데이터 저장 매체

하드 디스크뿐만 아니라 다음과 같은 저장 공간을 갖는 여러 장치에서 데이터 수집을 할 수 있다.

ㅇ 자기미디어

    ㅇ 플로피 디스크

    ㅇ 하드 드라이브

    ㅇ USB/PC 카드

    ㅇ ZIP이나 테이프 드라이브

ㅇ 광학 미디어

    ㅇ CD

    ㅇ CD-R 이나 CD-RW

    ㅇ DVD

ㅇ 대체 미디어

    ㅇ MP3 플레이어

    ㅇ 태블릿

    ㅇ 스마트폰

    ㅇ 비디오 게임, TV 등

FTK Imager 는 이런 각 장비의 데이터를 수집하고 분석하는 기능을 가진다. 조사 과정 동안 하드 디스크가 아닌 위의 기기에서 관련 증거가 발견될 수 있으므로 반드시 살펴봐야 한다.

수집 도구

FTK Imager 는 증거 작업 중 발생될 수 있는 사고를 방지하기 위해 비트 단위로 미디어 이미지를 복제한다. 포렌식 이미지는 원본 장치와 일치하는 복사본으로, 파일 슬랙과 비할당된 공간을 포함하며, 삭제된 파일 복구도 가능하다. 포렌식 복제는 이미지를 사용해 조사과정이 수행되므로 원본 미디어를 보존할 수 있다.

파일 슬랙(File Slack)

파일은 종류와 내용에 따라 다양한 크기를 가지며, 클러스터라 불리는 고정 길이 데이터 블록으로 저장된다. 예로 클러스터가 2,048바이트(2KB) 이고 윈도우 시스템과 같이 고정 길이 512바이트 블록이며, 저장할 파일이 1,000 바이트라고 한다면 첫 번째 512바이트가 기록되고 나머지 488바이트가 기록된다.

즉 2개의 섹터가 생기게 된다. 두 번째 섹터는 고정 길이 512바이트에서 488바이트만 기록이 되므로 결국 24바이트는 남게 되는데, 이때 남아 있는 공간은 0으로 채워 버린다. 이렇게 발생된 공간을 파일 슬랙이라 하고, 램 슬랙, 드라이브 슬랙, 파일 시스템 슬랙이라는 이름으로 이 용어가 사용된다.

수집된 이미지 분석은 FTK 후반부에 수행해 더욱 상세한 조사가 가능하며, 발견 된 정보로 최종 보고서를 생성할 수 있다.

FTK Imager 를 사용해 하드 드라이브나 다른 전자 기기의 포렌식 이미지를 생성할 때 하드웨어 기반의 쓰기 방지 장치를 반드시 사용해야 한다. 이렇게 함으로써 기기가 분석 시스템에 연결되더라도 원본 소스를 변경하지 못하게 할 수 있다.

이미지 포맷

FTK Imager 는 현재 사용되는 거의 모든 이미지 타입을 지원한다. 주요 타입은 파일 시스템을 지원하고 Imager 생성 포맷, Imager 읽기 포맷을 지원한다.

FTK Imager 는 다음 파일 시스템을 지원한다.

ㅇ DVD(UDF)

ㅇ CD(ISO, Joliet, CDSF)

ㅇ FAT(12, 16, 32)

ㅇ exFAT

ㅇ VXFS

ㅇ EXT(2, 3, 4)

ㅇ NTFS(압축 NTFS)

ㅇ HFS, HFS+, HFSX

FTP Imager 는 다음 포맷으로 증거 파일을 생성한다.

ㅇ E01, S01, L01

ㅇ AFF

ㅇ AD1

ㅇ RAW/DD

FTK Imager 읽기 포맷

 

FTK Imager 가 읽을 수 있는 모든 포맷을 나타내고 있다.

FTK Imager 인터페이스

FTK Imager 설치는 매우 간단하며, 하드 디스크에 제품 설치를 하는 일반적인 설치 방법과 설치가 필요 없는 Lite 버전을 사용할 수 있다. Lite 버전은 USB 에서 직접 FTK Imager 를 실행시킬 수 있는 장점이 있고, 필드 수집 과정에 많은 도움을 줄 수 있다.

FTK Imager 사용자 인터페이스는 여러 개의 창으로 구분돼 있다. Evidence Tree 부분, File List 부분 Property 부분, Hex Value Interpreter 창, Custom Content Sources 창으로 나눠져 있으며, 메뉴와 툴바는 화면에서 빼낼 수 있으며, 사용자 요구에 맞게 크기 조정도 가능하다.

 

 

 

 메뉴 바

메뉴 바는 FTK Imager 의 모든 기능에 접근할 수 있다. 메뉴 바는 항상 눈에 보이고 접근 가능하다.

메뉴 바에는 다음과 같은 4가지 메뉴가 있다.

ㅇ File : File 메뉴는 툴바에서 사용가능한 모든 기능에 접근할 수 있다.

ㅇ View : View 메뉴는 창이나 컨트롤 바를 표시하거나 숨기는 등의 FTK Imager

             화면을 변경할 수 있  다.

ㅇ Mode : Mode 메뉴는 뷰어의 미리 보기 모드를 선택하게 한다.

ㅇ Help : Help 메뉴는 프로그램 버전 정보와 다방면의 사용자 지원을 위한

            FTK Imager 사용자 가이드접속을 제공한다.

툴바

모든 툴과 기능을 포함하고 있는 툴바는 File 메뉴로 접근이 가능하다

 

 

  

위와 같이 각 기능에 대한 일부 기본 정보를 제공한다.

보기 창

FTK Imager 에는 다음과 같은 기본 보기 창이 있다.

ㅇ Evidence Tree 이 창은 계층적 트리 구조로 추가한 증거 항목을 보여준다.

ㅇ File List 이 창은 현재 Evidence Tree 창에 선택된 항목에 있는 파일과 폴더를

               보여준다.

ㅇ Viewer 이 창은 Preview Mode 옵션인 Natural, Text, Hex 선택에 따라 현재

              선택된 파일의 내용을 보여준다.

ㅇ Properties/Hex Value interpreter/Custom Content Sources

    이 창은 Evidence Tree 창이나 File List 창에서 현재 선택된 객체의 다양한

    정보를 보여주고, 뷰어에 선택된 16진수 값을 10진수와 가능한 날짜와 시간

    값으로 변환하고, Custom Content 이미지에 포함된 내용을 각각 보여준다.

FTK Imager 기능

FTK Imager 를 사용해 이미지 파일을 생성하기 전에 일부 증거를 미리 볼 수 있다.

Add to Custom Content(AD1) image 를 선택해 전체 증거 객체나 특정 객체를 선택할 수 있다.

​증거물 추가와 미리 보기

한 개의 증거물이든 여러 개의 증거물이든 한번에 추가할 수 있다.

다음은 단계별 포맷 절차를 나타낸다.

​1. 툴바의 Add Evidence Item 버튼을 클릭한다.

2. 미리보기를 원하는 소스 타입을 선택한 후 Next 를 클릭한다.

 

 

 

 3. 미리 보려는 드라이브를 선택하거나 소스로 이동한 후 Finish 를 클릭한다.

 

 

 

 4. 증거물은 Evidence Tree 창에 표시된다.

 

 

 

 포렌식 이미지 생성

증거 항목이 추가되면 포렌식 이미지 생성 프로세스를 수행할 수 있다. FTK Imager 는 여러 형태의 포렌식 이미지를 만들 수 있다.

1. 툴바에서 Export Disk Image 버튼을 클릭한다.

 

 

 

​2. Add 버튼을 클릭한다.

 

 

 

3. 이미지 타입을 선택한 후 다음을 클릭한다.

 

 

4. 증거물에 대한 정보를 입력한 후 다음을 클릭한다.

 

 

 

 5. 이미지가 저장될 목적지 폴더를 지정하고, 파일명, 조각 크기, 압축 옵션을

   선택한 후 Finish 를 클릭한다.

 

​이미지 마운트

마운트 기능을 이용해 포렌식 이미지는 읽기 전용 보기 옵션이 있는 드라이브나 물리 장치로 마운트된다. 드라이브처럼 마운트된 이미지를 오픈하고 윈도우나 다른 애플리케이션의 내용을 검색할 수 있다. 지원되는 타입은 RAW/dd 이미지, E01, S01, AFF, AD1, L01 이다. Full 디스크 이미지는 RAW/dd, E01, S01, 이며, 이 타입들이 물리적으로 마운트되고, 컴퓨터에 연결된 물리 디스크를 시물레이션 한다.

다음과 같이 복사된 물리 디스크를 가상 머신에 추가할 수 있다.

 

 

 

 ​사본이미지를 추가한후 마운트를 해주면 아래와 같이 드라이브에 마운트 되는걸 확인할 수 있다. 물론 툴을 꺼버리면 마운트도 해제된다.

메모리 캡처 기능

메모리 내용 같은 휘발성 데이터는 분석해야 할 중요한 증거를 갖고 있다.

메모리 수집을 통해 실행 중인 프로세스, 사용중인 문서, 접속된 웹사이트, 사용자명, 패스워드 등 매우 많은 정보를 추출할 수 있다.

1. 툴바의 Memory Capture 를 클릭한다.

2. 수집된 파일이 저장될 목적지 경로를 선택한다.

3. 옵션 단계로 Pagefile.sys 파일을 포함하고 AD1 증거 파일 형식을 만들 수 있다.

4. 다음과 같이 Capture Memory 를 클릭해 캡처를 시작한다.

 

 

 
보호된 파일 얻기

윈도우 운영체제는 실행 중인 레지스트리 파일을 복사하거나 저장할 수 없다. 이 경우 해당 머신에 FTK Imager 를 실행해 보호된 레지스트리를 얻고, 다음과 같이 복사할 레코드를 얻는다.

1. 툴바에서 Obtain Protected Files 버튼을 클릭한다.

2. 얻은 파일이 저장될 목적지 폴더를 선택한다.

3. 암호를 복구할 것인지 전체 레지스트리를 복구할 것인지 필요한 옵션을 선택 한다.

4. 마지막으로 OK 를 클릭한다.

 

 
EFS 암호화 검출

FTK Imager 툴바의 Detect Encryption 버튼을 클릭해 물리 드라이브나 이미지의 암호화된 데이터를 점검할 수 있다. 프로그램은 증거를 스캔하며, 암호화 파일이 검출되면 알려준다.

 

 

 

​해당 사본이미지에 암호화된 파일이 없다는 것을 나타내고 있다.

지금까지 FTK Imager 의 주요 기능을 살펴봤다.

FTK Imager 는 포렌식 이미지를 만드는 데 매우 중요한 툴이며, 거의 모든 증거 파일 포맷을 지원한다. 또한 이미지 생성 전에 증거를 미리 볼 수 있는데 이것은 중요한 정보만 분류하고 수집하므로 수집과 분석 시간을 상당히 줄일 수 있다.

FTK Imager 와 더불어 쓰기 방지 장치를 사용하는 것이 중요하고 이 방식으로 증거물에 대한 무결성 보장이 가능하다.

FTK Imager 인터페이스와 증거 아이템 추가와 미리보기(Add and Preview Evidence Item), 포렌식 이미지 생성(Creating Forensic Images), 이미지 마운팅(Image Mounting), 메모리 캡처(Memory Capture), 보호된 파일 얻기(Obtain Protected Files), EFS 암호화 검출(Detect EFS Encryption) 같은 FTK Imager 의 주요 기능을

알아 보았다.

요약하면 FTK Imager 는 전문가나 주사관 모두에게 필수적인 도구이며 가장 중요한 점은 무료라는 점이다.